Me suis fait piraté ma Debian... Help! [Resolu]

Support Debian
#1

Le serveur:
Debian Etch avec apache openssh-server pure-ftp mysql + un iptables que je croyais bien parametré (j’avais a tors laissé ssh accessible de partout)

Application hebergé:
Un site web sous joomla

Les symptomes:
Des segmentations faullt dès que je fais un apt
Le serveur ssh ne fonctionne plus

Analyse rapide:
Il y a eu 2 nouveau users de créés avec un Id 0
Pour le moment je n’en sais pas plus; je ne sais pas trop ou regarder non plus

Sinon,je n’ai pas acces physiquement au serveur mais j’ai pu me connecter via un live cd (netboot) puis j’ai chrooté mon systeme.
J’ai pensé a re-installer tous mes paquets un par un mais plusieurs utilitaires sytemes generent des segmentations fault (apt et chmod par ex).

Quelqu’un a t’il une idée, autre que re-installer la distrib, pour fixer mon systeme?

Merci d’avance,
Gilles.

#2

Tu peux faire plusieurs choses:

  1. Une sauvegarde de ton disque
  2. La commande suivante peut te donner les fichiers modifiés

~$ cd /tmp /tmp$ cat /var/lib/dpkg/info/*.md5sums | sort -u > MD5-ORG /tmp$ cd / /$ cat /tmp/MD5-ORG | awk '{print "md5sum "$2}' | grep -v -E "^md5sum *$" > /tmp/gre /$ sh /tmp/gre > /tmp/MD5 /$ cd /tmp /tmp$ diff -urN MD5-ORG MD5
3) La commande
$ last
te donne les derniers connectés sur le fichier wtmp n’a pas été patché.
$ chkrootkit permet de trouver d’éventuels modifications et certains rootkit.

De toutes façons si la machine est sensible, il vaut mieux réinstaller.

#3

Merci fran.b,

Je vais re-installer mon serveur d’ici la fin de cette semaine mais en attendant je voulais le rendre denouveau operationnel.

J’ai executé le code que tu m’as fourni pour trouver les fichiers modifiés et j’ai pas de resultats; je vais donc essayer essayer de telecharger et reinstaller les paquets concernés à l’aide de "dpkg -i"
Par contre connais tu une commande pour savoir dans quel paquet se trouve la commande cat par exemple?

#4

dpkg -S which la_commande

exemple:

[quote]~$ dpkg -S which dpkg
dpkg: /usr/bin/dpkg
[/quote]

#5

Merci fran.b, mon serveur fonctionne de nouveau correctement… Je vais pouvoir analyser plus en profondeur les degats causés sur celui-ci par mon pirate.

Bon bout d’an (comme il se dit dans le sud).

GilleS.

#6

Si ça t’interesses, tu peux consulter

http://forum.debian-fr.org/viewtopic.php?f=3&t=10677
http://lists.debian.org/debian-user-french/2003/12/msg01134.html
http://forum.debian-fr.org/viewtopic.php?t=10334

tu y trouveras des idées peut être